Анализ инцидента с крупной кражей средств из Холодного кошелька Bybit
21 февраля 2025 года на одной из известных торговых платформ произошел серьезный инцидент безопасности с холодным кошельком Ethereum, что привело к потере активов примерно на 1,46 миллиарда долларов, став одним из крупнейших инцидентов безопасности в истории Web3.0.
Обзор события
В тот же день в 14:16:11 по UTC злоумышленник с помощью тщательно продуманной фишинговой атаки успешно заставил подписчика Холодного кошелька подписать вредоносную транзакцию. Эта транзакция была замаскирована под обычную операцию, но на самом деле заменила контракт реализации многоподписного Кошелька Safe на вредоносный контракт с закладкой. Затем злоумышленник воспользовался этой закладкой для перемещения значительных активов из кошелька.
Детали атаки
Подготовка к атаке: злоумышленник заранее за три дня развернул два вредоносных контракта, содержащих функции для обхода перевода средств и изменения слотов хранения.
Обман подписи: злоумышленник успешно заставил всех владельцев трехкратного кошелька подписать транзакцию, которая выглядела нормальной, но на самом деле была злонамеренной.
Обновление контракта: выполняя операцию deleGatecall, злоумышленник изменяет адрес контракта реализации Safe (masterCopy) на адрес вредоносного контракта.
Кража средств: Используя обновленный вредоносный контракт с функциями sweepETH() и sweepERC20(), злоумышленник перенес все активы из холодного кошелька.
Анализ уязвимостей
Суть уязвимости этого инцидента заключается в успешной социальной инженерии. Злоумышленники с помощью тщательно разработанного интерфейса заставили транзакции на Safe{Wallet} выглядеть как обычные операции, в то время как данные, отправленные в холодный кошелек, были подделаны. Подписывающий не проверил детали транзакции повторно на аппаратном устройстве, что в конечном итоге привело к успеху атаки.
Анализ показывает, что данная атака, возможно, была спланирована и осуществлена известной хакерской организацией, и ее методы схожи с недавними случаями кражи крупных активов.
Уроки и выводы
Укрепление безопасности устройств: применение строгих политик безопасности конечных точек, использование специализированных устройств для подписания и временных операционных систем.
Повышение осведомленности о безопасности: регулярно проводить симуляции фишинга и учения красной команды.
Избегайте слепого подписания: внимательно проверяйте подробности каждой транзакции на аппаратном кошельке.
Многофакторная проверка: использование симуляции транзакций и механизма двойной проверки устройства.
Будьте внимательны к аномалиям: при обнаружении любых аномалий немедленно прекратите交易 и начните расследование.
Этот инцидент вновь подчеркивает безопасность, с которой сталкивается область Web3.0, особенно систематические атаки на высокоценные цели. С учетом постоянной эволюции методов атак, торговые платформы и учреждения Web3.0 необходимо全面 повысить уровень безопасности, чтобы справиться с все более сложными внешними угрозами.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
8
Поделиться
комментарий
0/400
SerumSurfer
· 16ч назад
Слепая подпись — это налог на интеллект.
Посмотреть ОригиналОтветить0
SleepTrader
· 07-20 22:08
На цепочке появился большой арбуз
Посмотреть ОригиналОтветить0
GateUser-c802f0e8
· 07-20 22:04
Снова вина слепой подписи!
Посмотреть ОригиналОтветить0
MrRightClick
· 07-20 22:02
Ещё один серьёзный сбой, просто поражает.
Посмотреть ОригиналОтветить0
WhaleMinion
· 07-20 22:02
Лучше сразу пойти ограбить банк.
Посмотреть ОригиналОтветить0
JustHereForAirdrops
· 07-20 22:00
неудачники遭殃又一年
Посмотреть ОригиналОтветить0
Layer2Arbitrageur
· 07-20 21:51
ngmi с такой мусорной проверкой сиг. буквально сжигаю деньги без мульти-сиг, смх
Рекордные 1,46 миллиарда долларов украдено: анализ и выводы крупного инцидента с безопасностью холодного кошелька
Анализ инцидента с крупной кражей средств из Холодного кошелька Bybit
21 февраля 2025 года на одной из известных торговых платформ произошел серьезный инцидент безопасности с холодным кошельком Ethereum, что привело к потере активов примерно на 1,46 миллиарда долларов, став одним из крупнейших инцидентов безопасности в истории Web3.0.
Обзор события
В тот же день в 14:16:11 по UTC злоумышленник с помощью тщательно продуманной фишинговой атаки успешно заставил подписчика Холодного кошелька подписать вредоносную транзакцию. Эта транзакция была замаскирована под обычную операцию, но на самом деле заменила контракт реализации многоподписного Кошелька Safe на вредоносный контракт с закладкой. Затем злоумышленник воспользовался этой закладкой для перемещения значительных активов из кошелька.
Детали атаки
Подготовка к атаке: злоумышленник заранее за три дня развернул два вредоносных контракта, содержащих функции для обхода перевода средств и изменения слотов хранения.
Обман подписи: злоумышленник успешно заставил всех владельцев трехкратного кошелька подписать транзакцию, которая выглядела нормальной, но на самом деле была злонамеренной.
Обновление контракта: выполняя операцию deleGatecall, злоумышленник изменяет адрес контракта реализации Safe (masterCopy) на адрес вредоносного контракта.
Кража средств: Используя обновленный вредоносный контракт с функциями sweepETH() и sweepERC20(), злоумышленник перенес все активы из холодного кошелька.
Анализ уязвимостей
Суть уязвимости этого инцидента заключается в успешной социальной инженерии. Злоумышленники с помощью тщательно разработанного интерфейса заставили транзакции на Safe{Wallet} выглядеть как обычные операции, в то время как данные, отправленные в холодный кошелек, были подделаны. Подписывающий не проверил детали транзакции повторно на аппаратном устройстве, что в конечном итоге привело к успеху атаки.
Анализ показывает, что данная атака, возможно, была спланирована и осуществлена известной хакерской организацией, и ее методы схожи с недавними случаями кражи крупных активов.
Уроки и выводы
Укрепление безопасности устройств: применение строгих политик безопасности конечных точек, использование специализированных устройств для подписания и временных операционных систем.
Повышение осведомленности о безопасности: регулярно проводить симуляции фишинга и учения красной команды.
Избегайте слепого подписания: внимательно проверяйте подробности каждой транзакции на аппаратном кошельке.
Многофакторная проверка: использование симуляции транзакций и механизма двойной проверки устройства.
Будьте внимательны к аномалиям: при обнаружении любых аномалий немедленно прекратите交易 и начните расследование.
Этот инцидент вновь подчеркивает безопасность, с которой сталкивается область Web3.0, особенно систематические атаки на высокоценные цели. С учетом постоянной эволюции методов атак, торговые платформы и учреждения Web3.0 необходимо全面 повысить уровень безопасности, чтобы справиться с все более сложными внешними угрозами.